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Die folgandan Angabon sind dan vom Anmelder eingerefchten Untarlagen entnommen 

(g) Verfahren zum Etabiieren eines gemeinsamen krytografischen Schlussels fur n Teilnehmer 

(§) Das Verfahren soli so ausgebilddt warden, da& auch 
nach dem Etabiieren des Gruppenschlussels ohne gro- 
(ien Aufwand Teilnehmer bus dem Schlusselverzeichnis 
gel5scht oder hinzugefugt warden kdnnen. 
Erfindungsgemai^ wird jedem der n Teilnehmer (I) Jewells 
ein Btatt eines binar strutcturierten Baumes, der genau n 
Blatter und die Ttefe [log2n} besitzt, zugeordnet. Fur jeden 
Teilnehmer jl), der ein Geheimnis (i) generiert und dem 
Blatt des Baumas zugeordnet wird, wird auch der jeweili- 
ga Teilnehmer (I) zugeordnet. Nacheinander warden in 
Richtung der Baumwurzel fur elle Knoten (K) des Baumes 
Geheimnlsse etabliert, wobei immer zwel bereits bekann- 
te Geheimnisse uber das DH-Verfahren zu einem neuen 
gemeinsamen Geheimnis zusammengefafit werden. Der 
letzte Knoten K^v enthalt den gemeinsamen Schlussel al- 
ler n Teilnehmer. 

Das erfindungsgemaHe Verfahren lafitslch vorteilhaft zur 
' Erzeugung eines kryptografischen Schldssels fOr eine 
' Gruppe von Teiinehmern oinsetzen, deren TeMnehmerzahl 

Anderungen unterworfen iat. 



A,B-.k1 =9^*^ 
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Beschieibung 

Das erfindungsgcmaBe Verfahren dicnt der Eizeugung und dem Etahlieren eines gemeinsamen kryptografischen 
SchlUssels fur n Teilnehmer zur Gewahrlei stung der Geheinihaliung von Nachrichten, die Uber unsichere Kommunikmi- 
onskanaie ausschlicBlich an die n Tetlnehmer ubertragen werden soUen. 

Zum Schutz der Vertraulichkeit und Iniegrital der Konunimikation zwischea zwei oder mehr Personen weiden die Me- 
chanismen der V^rschlUsselung und Autheniisierung eingesetzt. Dtese eifordem allerdings das \brhandensein einer ge> 
mdnsanien Information bei alien Teilnehmem. Diese gemeinsame Infomiation wird als kryplographischer Schliissel be- 
zeicboet. 

Ein bekanntes Verfahren zum Etahliemn eines gemeinsamen Schiiisseis iiber unsicheie Kommunikationskanaie ist das 
Vertahren von Diffie und Ilellman (DI I- Verfahren vergldcte W. Diffie und M. Ileliman, New Directions in Cryptogra- 
phy. lEEETransaciions, on Information Theory, IT-22(6): 644-654, NovenibCT 1976). 

Cfrundlage des DifRe'Hellmann-Schla^Kelaustauschj; (DH76) ist die Tktsache, daB es praktisch unmogHch isl, Tx^g- 
arilhraen modulo einer groBen Primzahl p zu berechnen. Dies macben sich Alice und Bob in dem unten abgebildeten Bei- 
spiel zunutze, indem sic jeweils eine Zahl x bzw. y kleiner als p (und teilerfremd zu p-1) gebeim wahlen. Dann senden sie 
sich (nacheinander oder gleichzeidg) die x-te (bzw. y-te) Potenz einer affenllich bekannien Zahl a zu. Aus den empfan- 
genen Potenz^i kdnnen sie durch emeutes Potenrieren mil x bzw. y einen gemeinsamen SchlOssel K: = a** berechnen. 
Ein Angreifer, der nur a* und sieht, kann daraus K nicht berechnen. (Die einzige heute bekannte Meihode dazu be- 
sttinde darin, zunachst den Logarithmus z. B. von zur Basis a modulo p zu berechnen und dann damit zu potenzie- 
rcn.) 

Beispiel flir Diffie-Hellmann-ScblUsselaustausch 

Alice Bob 
Wahlt X geheim / 

-> 

y 

a 

4 

B a det K : ( a^* = a*^ BUd et K: = a"^ 

Das Problem bei dem im Beispiel beschriebenen DH-Schllisselaustausch besteht darin, daB Alice nicht weiB, ob sie 
taisachlieh mit Bob oder niit einem BetrUger kommuniziert. In IPSec wird dieses Problem durch den Einsatz von Public- 
Key-Zertitikaten geldst, in denen durch eine venrauenswUrdige Instanz die Identitai eines Ibilnehmers mit einem dffent- 
lichen SchlOssel verknUpft wird. Dadurch wird die Idendtat eines Gesprachspartners uberpriifbar 

Der DH-SchlOsselaustausch kann auch mit anderen matheraalischen Strukturen realisiert werden. z. B. mit endlichen 
Kfirpem GF(2°) oder elliptischen Kurven* Mit diesen Altemativen kann man die Performance verbessem. Dieses \ferfah- 
ren isl allerdings nur zur Vereinbaning eines !)cblilssels zwischen zwei Teilnehmem geeignet. 

Es wurdeo verschiedeae \^rsuche untemommen, das DH- Verfahren auf drei odsr mehr Teilnehmer zu erweitem 
(Gruppen DH). (Einen Obecblick Uber den Stand der Ibchnik bieiet M. Steiner, G. Tsudik, M. Waidner, DifUe-Hellman 
Key Distribution Extended to Group Communication. Proc. 3"* ACM Conference on Computer andConununications Se- 
curity. Marz 1 996, Neu Delhi. Indien.) 

Eine Erweiterung des DH-S%rfabrea auf drei Teilnehmer A. B und C wird z. B. duicb nachfolgende Tabelle faescbrie- 
hea, (Berechnung jeweik mod p): 





A->B 




C->A 


1 . Runde 


8' 


8" 


8' 


2. Runde 


8- 


8* 





Nach DurdifUhrung dieser beiden Runden kann jeder der drei Teilnehmer den geheimen Schlussel g^ mod p berech- 
nen. 

Bei alien diesen Brweiteningen tritr mindestens eines der drei folgenden PfoWeme auf: 

- Die Teilnehmer mOssen in einer besdmmien Art und Weise geordnet sein, im obigen Beispiel z. B. als Kreis. 

- Die l^ibiebmer haben gegentkber der Zentrale keinen Einilufi auf die Auswahl des Schliissels. 

- Die Rundeozahl ist abhfingig von der Ibilnehmerzahl 

Hn weiteres Verfahren zum gemeinsamen Etablieicn eines Schltissels ist aus DE 195 38 385.0 bekannt. Bei diescm 
Verfaliren mu6 die Zentrale allerdings die geheimen Schliissel der Ibilnehmer kennen. 
Weiterhin ist eine UJsung aus Burmester, Desmedt, A secure and efficient conference key distribution system, Proc. 
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EUROCR\'PT94, Springer I.NCS. Berlin 1994 bekannl, bei der zwei Rundcn zur Generiemng des SchlUssels benotigl 
werden, wobei in dcr zweiteo Runde durch die Zenlrale fiir n Ifeilnehnier n Nachrichien der Langc p = ca. 1000 Bit ge- 
scndeL werden miissen. 

Bekannt isl auch ein als (n,l>-Thresbold-Verfahren bezeichnetes kryptografSsches Verfahren. Mit einem (n,t)-Thres- 
hold- Vcrfahren tcann man einen SchlOssel k so in 1 Teile. die shadows genannt weiden. zerlegeo, daB dieser Schliissel k 5 
aus je n der i shadows rekonstnucrl wcrdcn kann Cvgl. Beutelspachex; Schwcnk, Wolfensietten Modemc verfahren der 
Kryptographie (2. Aufiage), Vieweg Verlag* Wiesbaden 3998). 

Das vorliegendc V^ahien soil das Htabliercn eines gemeinsamen Gruppenschltissels zwischen einer Zentrale und ei- 
ncr Gruppe von d TeilnehrDem enndglichen. Das Veri'ahren soil so ausgebildet werden, dafi auch nach dem Hiablteren 
des UruppenschlUsscls ohne groBen Aufwand Teilnehmer aus dem SchlQssel verzeichnis gclOscht Oder hinzugeft)gt wer- lo 
den konncn. 

Die Aufgabensteilung wird durch eine Verfahren gelost, bei welchem das Ktablieren eines GruppenschlUssels mil 
Hilfe einer Rauntsiruktur vnrgenominen wird. HrfindungsgeinaB wird da7xi die Any.ahl der an der SchlQssel vereinbarung 
bcieiligten Teilnehiuer n als binSier Baum mil n Blattem darstcUcn. Fiir jede natUrliche 2LahI n gibt es ein oder mehr Dar- 
stellungen dieser Art. Die Anzahl der Biaiter ist dabei mil der Anzahl der in das Verfahren einbezogeneo leilnehmer 15 
identisch. Das bcdeutet, daB einer Anzahl von n Ibilnehmem eine Anzahl von n BlSiier eines binaren Baiunes mit der 
Tiefe [logsn] zugeordnei ist. 

Fig, 1 zeigl das Wirkprinzip des eifindungsgemaBen Verfahrens anhand der Baumstrukair einer SchlQssel veieinba- 
rung fUr drei Teilnehmer A, B, C. 

Um eincn gemeinsamen Schliissel zu ctablieren, gehen die Teilnehmer A, B und C wie folgt vor: 20 

' Tbilnehmer A und B fUhren ein DH- Verfahren mit nach dem Zufallsprinzip gencnerten Zahlen a und b durch. Sie 
orhalten den gemeinsamen Schlussei kl » g^ mod p, der dem gemeinsamen Knoten Kl zugeordnet wird. 

- Ibilnehmer A und B auf der einen und Teilnehmer C auf der anderen Seitc fuhren ein zweites DH*\^r&hren 
durch, wek:hes auf dem gemeinsamen Schlussel kl der Tdlnehmer A und B und auf einer nach dem Zufallsprinzip 25 
generierlen Zabl c des Tcilnchiuers C beruhi. Das Ergebnis isl der gemtansame Schlussel k = g^^ ' ^ uiud p, der der 
Wurzcl des Baumcs Kw zugeordnet wird. 

Das erfindungsgeniaBc Verfahren wird anhand von Ausfiihrungsbeispielea naher erlautert. 

In Fig. 2 isL die Bauiustruktur fiir eine SchlDsselvereinbarung fiir vier Teilnehmer A, B, C und D dargestellt, 30 

Fig. 3 zeigL die Baumstruktur einer Schliisselvereinbarung fUr 5 Tbilnehmer A, B, C, D und E. 

Fig. 4 zeigu ausgehend von einer bereiis bestehenden Baumsuuktur nach Fig. 2, ein Beispiel fiir die Erweiterung der 
Baumsmiktur um einen Teilnehmer. 

Fig. 5 zeigt, ausgehend von einer bereits bestehenden Baumstruktur uach Fig. 2, das Enlfernen/Lbschen eines Teilneh- 
niers aus der Baumsiruktun 35 

Nachfolgend wird anhand von Fig. 2 ein Beispiel einer SchlOsselvereinbarung fUr vier Teilnehmer A, B, C und D be- 
schrieben: 

Um einen gemeinsamen Schlussel fUr vier Teilnehmer (Fig* 2) zu etablieren, gehen Teilnehmer A, B, C und D wie 
folgt vor: 

40 

- Ibilnehmer A und B fUhren ein DH- Verfahren mit nach dem Zufallsprinzip generienen Zahlen a und b durch. Sie 
erhalten dea gemeinsamen Schlussel kl ^ gf^ mod p. 

Ibilnehmer C und D fuhren ein DH- Verfahren mit zufMlig gew^iten Zahlen c und d durch. Sie erhalten den ge- 
meinsamen Schlussel k2 = g^ mod p. 

- Ibilnehmer A und B auf der einen und Teilnehmer C und D auf der anderen Seite fuhren gemeinsam ein zweiles 45 
DH- Verfahren durch, in welches von Teilnehmer A und B der Schliissel kl und von Teilnehmer C und D der SchlUs- 

scl k2 einbezogen werden. Das Etgebnis ist der gemeinsame Schlussel kw = g*^^ * mod p, welcher der Wurzei des 
Baumes Kw zugeordnet ist 

Nachfolgend wicd anhand von Fig« 3 ein Beispiel einer Schlasselvereinbarung fUr ftinf Ibilnehmer A, B, C, D, und £ 50 
beschrieben: 

Um einen gemeinsamen SchlOssel zu etabheren. gehen die Teibiehmer A, B, C, D und £ wie folgt von 

- Teikichmer A und B ftihren ein DH- Verfahren mil zufMilig gewahllen Zahlen a und b durch. Sie erhalten den ge- 
meinsamen Schliissel kl = g^ mod p. 55 

- Ibikiehmer C und D flihren ein DH- Verfahren mit zuf^ig gew^lten Zahlen c und d durch. Sie erhalten den ge- 
meinsamen Schlussel k2 = g*"* mod p. 

- Ibilnehmer A und B auf der einen Seite und Ibihiehmer C und D auf der anderen Seite fuhren gemeinsam ein 
zweites DH- Verfahren ducch, in welches von Ibibiehmer A und B der gemeinsame Schlussel kl und von Ibilneh- 
mer C und D der gemeinsame Schliissel k2 einbezogen vrard&n. Das Kigehnis i.st ein gemeinsamer Schliissel k3 = 60 
g^^ • mod p fUr die Ibilnehmer A, B, C und D. 

- Die Teilnehmer A, B, C und D auf der einen Seite und der Teilnehmer E auf der anderen Seite fUhren ein drittes 
DH- Verfahren durch, in welches der gemeinsame Schliissel k3 der Teilnehmer A, B, C und D und eine fur den Teil- 
nehmer E generierte ZufaiLszahl e einbezogen werden. Das Ergebnis isi der gemeinsame Schlussel kw = g^ ' ' mod 

p, der der Wurzei des Baumes Kw zugeordnet isL 65 

Aufgrund der Struktur des erfindungsgemlifien Verfahrens ist es moglich, neue Teilnehmer mit einzubeziehen bzw. 
einzclne Teilnehmer auszuschlieBen, ohne das ganze Vferfahren fiir jeden Teilnehmer noch einmal durchfUhren zu mtis- 
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sen. 

Das EinfUgcn eines neuen Teilnebmers wird anhand einer Baumsiruklur rail vier Teilnehmem nach Fig. 4 niher erUu- 
icrt: Ausgangssituation isi dabci cine Baunistruktur enlsprechOTd Fig. 2 in welche cine neuer Teilnehmer bci Blatt B ein- 
gefugt werden soli. Bei Hinzunahme eines neuen Teilnehmers in eine bereits bestehende Baumstmktur, die iiber ein gc- 
5 nieinsatnes Geheimnis verfDgU werden zum Hiablieren eines neuen gemeinsamcn SchlUssels fur n+l Tbilnehmer an etner 
gecigneten Stclie des binaren Baunies (BlaU B voigegeben) zwei neue BlUuer Bl und B2 angefiigi. Dcr neue Baum be- 
sitzt dann n+l Blatter und die Hefe [log2(n+l)]. Der bisher dem Blaii B zugeordneie Teiinefamer wird einem der neue 
Blatier Bl zugeordncL Der neue Teilnehmer wird dem anderen nocfa fieien BiaU B2 zugeordnet. Das bisherige Blatt B 
wird zu einem Knoten Kl fQr die BlSLter Bl und B2. Ausgehend von den neuen Bmnero Bl und B2 werden bis bin zur 
iii v/unxi des Baumes nur in den Knoten K neue Geheimnisse etabltol, die im Rahmen der Baumstruktur auf dem von 
den neuen Blanem Bl und B2 zur Vi^rzei des Baumes Kw liegen. Das sind im konkreten Fall die Knoten Kl, K2 und 
Kw- 

Tst die AnTahl der Teilnehmer eine Zweierpoienz, so erhohr sich die Hefe des Baumes durch diesen Vorgang um 1 
Cvgl. vorhergehendes Beispiel). 1st die Anzahl der Tbilnehmer keine Zweierpotenz, so kann durch geschickte Wahl des 
IS aufzuteileoden Blattes eine VergroBerung der Hefe vermieden werden, wie das folgende Beispiel zeigu 

Um beispielsweise einen vierten Teilnehmer zu diei Ibilnehmem hinzuzufligen, geht man (ausgehend von der Situa- 
tion nach Fig. 1 ) wie folgt von 

- Teilnehmer C fiihri mil dem nea hinzugekommcnen Teilnehmer D ein DH^Vcifahren mil zufallig gencrierten 
20 Zahlen c und d durch (c soUie sich von dem v<»ber gewahlten c unterscheideo. dies muB aber nicbt der Fall sein). 

Das Ergebnis isi k2 = g^ '^ mod p. 

- Tbilnehmer A und Teilnehmer B auf der einen und Tbilnehmer C und D auf der anderen Seiie fiihren ein DH-Ver- 
fahren mit den Werten kl und k2 durch. Das Ergebnis ist k = g^^ ' ^ mod p. 

2S Bei einer derartigen Konfiguration miissen die Tbilnehmer A und B keinen neuen Schliisseltausch durchflihren. Gene- 
rell niUssen nur die Geheimnisse neu vereinban werden, die im zug^^Origen Baum auf dem Weg vom BlaU des neuen 
Teilnehmers zur Wurzcl Kw licgcn. 

Das AusschiieBen bzw. Lbschen eines Ibiinehmers wird anhand einer Baumstruktur mit vier Tbilnehmem anhand von 
Fig. 5 naher erlautert : Ausgangssituation ist dabei eine Baumstruktur entsprechend Fig. 2, aus der Teilnehmer B eiufemt 

30 werden soil. 

Beim AusschiieBen bzw. beim Laschen eines Tbilnehmers B aus einer bereits bestehcnden Baunisuuktur, die iiber ein 
gemeinsames Geheimnis verfUgt, werden wie in Fig. 5 ausgefUhrl, sowohl das Blatt des zu entferoenden Teilnehmers B 
als auch das Blatt des dem gleichen gemeinsamen Knoten Kl zugeordneien Teilnehmers A entfemt Der gemeinsame 
Knoten Kl wird zum neuen BlaU A' des in der BaumsUoiktur verbleibenden Tbilnehmers A. Ausgehend von den Blattern 

35 des Baumes bis zur Wurzel Kw w«*den nur in den Knoten K neue Geheimnisse etablierL, die vom neuen Blatt A* im Rah- 
men der Baumstruktur in Richtung Wurzel Kw unmittelbar tangiert werden. Das ist im konkreten Fall nur der Wurzel- 
knoten Kw. Bei einer derartigen Konfiguration mUssen die Teilnehmer C und D keinen neuen Schliisseltausch durchfUh- 
ren. Generell ralissen auch hier our die Geheimnisse neu vereinbart werden, die im zugehdrigen Baum auf dem Weg vom 
Blatt des Partners des enifemten Tbiinehmecs zur Wurzel liegen. 

40 Das Verfahien kann in vielfacher Hiosicht zweckmaBig wdter ausgestaitet werden: 

FUr die Bildung der diskieten Exponendalfunktion x — g* bietet sich beispielsweise die Verwendung anderer Gruppen 
an. 

Beim HinzufUgen oder Entfecnen eines Tbilnehmers kann beispielsweise vereinbart werden, dafi ftir die notwendigen 
neuen DurcbfUhrungen des DH-\^rfahxens nicbt die alten Geheimnisse, scmdem das Ergebnis einer (evtl. randomisier- 
45 ten) Einwegfiinktion verwendet wird. 

Patentanspriiche 

1. Verfahren zum Etablieren eines gemeinsamen kryptografischen SchlOssels ftir n Tbilnehmer unter Anwendung 
so des DH- Verfahrens* dadurch gekennzeichnet, 

- daB jedem der n Tbilnehmer (I) jeweils ein Blatt eines binar strukturierten Baumes, der genau n Blotter und 
die Tiefe [log2n] besitzt, zugeordnet wird, 

- daB fiir jeden Tbilnehmer (I) ein Geheimnis (i) generiert und dem Blatt des Baumes zugeordnet wird, dem 
auch der jeweilige Teilndimer (I) zugeordnet ist, 

55 - daB nacheinander in Richtung der Baum>yurzel fUr alle Knoten (K) des Baumes Geheimnisse etabliert wer- 

den, wobei ausgehend von den Blattern entsprechend der festgelegten Baumsttuktur Ober die gesamte Hierar- 
chic der Baumsttiiktur immer zwei bereits bekannte Geheimnisse tiber das DH-\^rfahren zu einem neuen ge- 
meinsamen Geheimnis zusanunengefafit und einem gemeinsamen Knoten (K) zu geoidnet werden« so daB der 
letzte Knoten Kw und damit die BaumwurzeU als G^eimnis den gemeinsamen SchlQssel aller n Tbilnehmer 

fiO enthalt 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, 

- dafi bei Aufnahme eines neuen Tbilnehmers in eine bestehende Baumstruktur. die bereits Qber ein gemein- 
sames Geheimnis verfUgt, zum Etablieren eines gemeinsamen Schliissel ftir n+I Tbibiehmer an geeigneter 
Stelle des bin&ren Baumes einem Blatt (B) als Nachfolger zwd neue Blatter (Bl und B2) angefUgt weiden, so 

65 daB der neue Baum genau n+l Bitter und die Tlefe [log2(n-hl)] besitzt, 

- dafi dcr dem bisherigen Blatt (B) zugeordnete Tbilnehmer und dcr neue Teilnehmer jeweils einem der neuen 
Blotter (B 1 ; B2) zugeordnet werden^ wobei das bisherige Blatt B zu einem gemeinsamen Knoten fUr die neuen 
Blatter (B1;B2) wird. 
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- daS ausgehend vod den neuen BJaltem (B1: B2) bis zur Wuree) des Baunies nur in den Knolen neue Cie- 
hdmnisse mbliert werden. die im Rahmen der Baunistniktur auf dem Weg von den Blattern B 1 und B2 zur 
Baumwurzel liegen. 

Ver£ahren nach Anspruch 1, dadutch gekennzeichnet, 

- daB bei AusschlieBung eines Ibilnehmers (B) aus einer bereits best^enden Bauinstrukrur die beicits Uber 5 
cin Clehdninis verfugu sowohl das Blatt des 741 entfemen den IbiJnehmm (B). als audi daS Blatt des dem g]ej- 
chen gemeinsamen Knoteo zugeordneten Tcilnehmcrs (A) entfernt werdea, 

- dafi der genieinsame Knoten zum Blatt des nichl zu entfemeode Teiinehincrs A wird* und daB ausgehend 
von den Blatcem des Baumes bis zur Wurzel nur in den Knoten neue Geheinuiisse etablieit werden. die im 
Rahmen dcrBaumsmiktur auf deni Weg vom ncuen Blait (A) zur Baumwurzel liegen. 10 
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